UODO nałożył administracyjną karę pieniężną na STU ERGO Hestia. Spółka zapłaci 160 tys. zł za niezgłoszenie do organu nadzoru naruszenia ochrony danych osobowych oraz brak zawiadomienia o naruszeniu danych klienta TU.
Multiagencja ubezpieczeniowa pomyłkowo przekazała korespondencję dot. oferty ubezpieczeniowej osobie trzeciej. W przekazanych dokumentach były zawarte takiej dane osobowe jak: imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informacje o przedmiocie ubezpieczenia. Pośrednik, będący zarówno administratorem danych, jak i podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeń, poinformował o tym incydencie UODO, jak też towarzystwa ubezpieczeń, z którymi współpracował. Te, jako administratorzy danych, dokonały zgłoszenia naruszenia ochrony danych do UODO, poza STU ERGO Hestia.
Urząd zwrócił się z prośbą o wyjaśnienia do sopockiego towarzystwa ubezpieczeń. W odpowiedzi spółka wskazała, że prowadzona przez nią analiza zdarzenia nie wykazała, że w tej sprawie nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO i osoby, której ono dotyczy. Analiza wzbudziła wątpliwości organu nadzoru, który uznał, że została ona dokonana w sposób nieprawidłowy. W szczególności uchybienia polegały na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów czy uwzględnieniu czynników, które nie powinny mieć zastosowania.
Zdaniem UODO, w sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
Pełna treść decyzji jest dostępna pod linkiem: https://www.uodo.gov.pl/decyzje/DKN.5131.3.2021
